Boost ランサムウェアとは何ですか?
Boost ランサムウェアは、悪名高い Dharma ランサムウェア ファミリーの亜種です。起動すると、被害者のシステム上のファイルを暗号化し、ファイル名を変更し、2 つの身代金要求メモを残します。1 つはポップアップ ウィンドウに表示され、もう 1 つは「FILES ENCRYPTED.txt」という名前のファイルに保存されます。
Table of Contents
ファイル名の変更
暗号化時に、Boost Ransomware は各ファイル名に一意の識別子、電子メール アドレス boston.crypt@tuta.io、および「.boost」拡張子を追加します。たとえば、最初に「picture.png」という名前が付けられたファイルは、「picture.png.id-9ECFA84E.[boston.crypt@tuta.io].boost」に名前が変更されます。
身代金要求書と要求
身代金要求書には、被害者のコンピュータのセキュリティ問題によりファイルが暗号化されたことが記されている。被害者は、割り当てられたIDを添えてboston.crypt@tuta.ioにメールを送り、身代金の支払い方法の指示を受けるよう指示されている。身代金はビットコインで支払う必要がある。復号化にかかる費用は、被害者が攻撃者に連絡を取るまでの速さによって異なる。この通知では、暗号化されたファイルの名前を変更したり、サードパーティの復号化ツールを使用したりしないよう警告している。これらの行為は、永久的なデータ損失や復号化費用の増大につながる可能性があるからだ。
以下は Boost Ransomware の身代金要求メッセージの例です。
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail boston.crypt@tuta.io
Write this ID in the title of your message -
In case of no answer in 24 hours write us to theese e-mails:boston.crypt@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Dharma ランサムウェア ファミリーの詳細
Dharma ファミリーのランサムウェアは、通常、ローカルおよびネットワーク共有に保存されているファイルを暗号化します。ファイアウォールを無効にし、ボリューム シャドウ コピーを削除して、ファイルの回復を妨げます。Dharma ランサムウェアは、脆弱な資格情報や管理が不十分な資格情報を悪用して、侵害されたリモート デスクトップ プロトコル (RDP) サービスを通じて拡散することがよくあります。
永続化メカニズム
Boost Ransomware を含む Dharma の亜種は、永続性を確保するために、特定のシステム パスに自身をコピーし、システム起動時にマルウェアを実行するレジストリ エントリを作成します。また、位置データを収集し、事前定義された場所を暗号化から除外することもできます。
ランサムウェアを理解する
ランサムウェアは通常、ファイルを暗号化し、その復号化と引き換えに身代金(多くの場合は暗号通貨)を要求することで機能します。被害者には詳細な支払い手順が提供されます。ただし、身代金を支払っても暗号化されたファイルが確実に復元されるわけではありません。したがって、データ損失や金銭的損害のリスクを最小限に抑えるには、重要なファイルのバックアップをリモート サーバーまたはオフライン ストレージ デバイスに保持することが不可欠です。
その他のランサムウェアの亜種の例
Boost に類似した他のランサムウェアの亜種には、同様の暗号化と身代金戦術を採用するJron Ransomware 、 AeR Ransomware 、 Thx Ransomwareなどがあります。
ランサムウェア感染の手法
Dharma ランサムウェアは、通常、脆弱な RDP サービスを介してシステムに侵入します。多くの場合、弱いパスワードを悪用するブルート フォース攻撃や辞書攻撃が行われます。その他の標準的な感染方法には、悪意のある電子メールの添付ファイルやリンク、マルバタイジング、海賊版ソフトウェア、OS の脆弱性の悪用、P2P ネットワーク、サードパーティのダウンローダー、侵害された Web サイトの使用などがあります。
予防措置
ランサムウェア感染を回避するには:
- アプリケーションやファイルは公式ウェブサイトまたはアプリストアからのみダウンロードしてください。
- 海賊版ソフトウェアやクラッキングツールの使用は避け、疑わしい電子メール、広告、ポップアップ、信頼できない Web サイトのダウンロード ボタンには注意してください。
- ソフトウェアとオペレーティング システムを最新の状態に保ち、信頼できるセキュリティ ツールを使用してください。
Boost ランサムウェアの削除
コンピュータがすでに Boost Ransomware に感染している場合は、信頼できる Windows ウイルス対策プログラムを使用して包括的なスキャンを実行し、ランサムウェアを自動的に削除することをお勧めします。
定期的なファイルバックアップの重要性
ランサムウェア攻撃がますます巧妙化し、蔓延しているデジタル時代では、重要なファイルの定期的なバックアップを維持することが絶対に不可欠です。ランサムウェアは警告なしにシステムに侵入し、ファイルを暗号化して、身代金を支払わない限りアクセスできない状態にします。ただし、身代金を支払ってもデータが安全に返される保証はありません。定期的なバックアップはセーフティネットとして機能し、サイバー犯罪者の要求に応じることなくファイルを復元できるため、金銭的損失や混乱の可能性を回避できます。メインシステムに接続されていない外部またはクラウドストレージソリューションにバックアップを保存することで、ランサムウェアやその他のサイバー脅威からデータを保護し、デジタルライフの整合性と継続性を維持できます。
